Mozilla améliore la sécurité de ses concurrents

[freegreg]

Mise à jour du 12/05/10


Mozilla améliore la sécurité de ses concurrents
En adaptant sa page de détection des plug-ins périmés à leurs navigateurs


Pour ceux qui l'auraient oublié (ou qui ne l'auraient jamais su), Mozilla n'est pas une entreprise.

L'éditeur de Firefox est une Fondation.

La nuance peut paraître mince, mais elle ne l'est pas.

Tristan Nitot (Président fondateur de Mozilla Europe) nous expliquait que son objectif n'était pas de produire des logiciels mais « de rendre le web meilleur » (sic) avec tout ce que cela implique : ouverture des formats, standards respectés, confidentialité pour les internautes et amélioration sécurité.

Le projet Drumbeat a par exemple pour but d'impliquer le plus possible la communauté d'utilisateurs de Firefox pour en faire des « évangélistes » de la sécurité. Ici, point de discrimination entre usagers, ni de parts de marché à défendre. Il faut éduquer et sensibiliser les plus d'internautes possibles aux dangers du net et aux problématiques de sécurité.

Ce n'est donc qu'une demi surprise de voir qu'aujourd'hui la Fondation Mozilla vient de modifier sa page de détection des plug-ins périmés (lire ci-avant) pour que celle-ci fonctionne avec tous les navigateurs majeurs du marché - et concurrents de Firefox : Internet Explorer, Chrome, Opera et Safari.

« Nous pensons que la sécurité des plug-ins est un problème pour le Web dans son ensemble », confirme Johnathan Nightingale, directeur du développement, sur son blog, « si nos efforts initiaux se sont concentrés sur la construction d'une page qui fonctionne pour les utilisateurs de Firefox, l'équipe a étendu la détection à Safari 4, Chrome 4 et Opera 10.5 ».

Le navigateur de Microsoft a lui posé quelques problèmes : « Nous avons aussi ajouter le support des plug-ins les plus populaires pour Internet Explorer 7 et 8, mais comme IE demande d'écrire du code spécifique pour chaque plug-in le travail va prendre un peu plus de temps ».

Rappelons que ce processus de détection/mise à jour de plug-ins périmés est automatisés dans Firefox depuis sa version 3.6.

Tout comme elle le sera pour le plug-in Flash, désormais installé en natif dans Google Chrome.


La page de de diagnostic est toujours ici.

Source : Le billet de Johnathan Nightingale


Lire aussi :

Firefox 4 tiendra-t-il ses très nombreuses promesses ? Début de réponse avec sa première beta prévue pour juin
Nouvelle beta pour Firefox 3.6.4, la séparation des processus arrive à grand pas : enfin ?

Et vous ?

Pensez-vous que la mission que se donne la Fondation Mozilla est bonne ou qu'au contraire, elle est utopiste - et qu'au final Mozilla en fait trop ?

MAJ de Gordon Fowler



Mise à jour du 15/10/09

Firefox : la page de détection de plug-ins périmés officiellement lancée
Mozilla lance un appel aux développeurs pour optimiser l'efficacité du projet


La page de vérification des plug-ins de Firefox est à présent officiellement opérationnelle.
Lancée en bêta la semaine dernière, cette annonce de Mozilla est certainement une piqure de rappel auprès des utilisateurs de son navigateur libre pour qu'ils aillent faire un tour sur cette page afin de vérifier que leurs plug-ins sont bien à jour (cf. article précédent).

Elle a également changée d'adresse à cette occasion.

En JavaScript, elle vérifie 15 plug-ins majeurs. Un dessin valant toujours mieux q'un long discours, voici comment elle fonctionne :




Mais cette annonce recèle une autre nouvelle intéressante.

Mozilla recherche des développeurs volontaires pour améliorer son système et réalisé les prochaines étapes :

• Intégrer l'expérience au client Firefox (ce qui commencera avec Firefox 3.6 qu se fait attendre)
• Faciliter la mise à jour de la page par les fournisseurs de plug-ins
• Créer un annuaire ouvert de toutes informations sur les plug-ins (un Plugindoc dynamique)
• Evangéliser les utilisateurs à la détection de plug-in via des widgets (sur Wordpress, etc.)
• Intégrer les retours au système d'analyse des crash et des bugs

Pour les développeurs intéressés par le projet, vous pouvez vous rendre sur la page du nouvel appel de la Fondation Mozilla (après celui du début du mois) où l'équipe actuelle explique comment vous pourrez apporter votre pierre à l'édifice.


MAJ Gordon Fowler.


08/10/09

Navigateurs : Firefox veut que toutes ses plug-ins soient à jour
Une nouvelle page de diagnostic permet l'update des plug-ins Apple, Microsoft ou Adobe


Adobe, Apple, Microsoft : Mozilla a décidé de prendre le problème des plug-ins de Firefox à bras le corps.

Après s'être penché sur une méthode révolutionnaire pour luter contre le cross-scripting, après avoir réussi à faire mettre à jour le lecteur flash d'Adobe à plus de 10 millions d'utilisateurs (cf.article ci-dessous), la Fondation Mozilla, qui soutient le développement de Firefox, a décidé de généraliser la démarche qui consiste à s'occuper des failles de son navigateur même si celles-ci ne relèvent a priori pas de sa responsabilité.

Sur le blog officiel de la Fondation sur les questions de sécurité, l'annonce vient d'être faite : une page dédiée (en bêta) permet à tous les utilisateurs de savoir si leurs plug-ins (JavaScript de Sun, QuickPlayer d'Apple, ou Windows Media Player de Microsoft par exemple) sont bien à jour.





Dans le cas contraire, la page agrège les liens vers les dernières versions et invite l'utilisateur à effectuer la démarche.

Le plug-in Flash est très fréquemment ciblé par les hackers. Automatiser sa mise à jour – ce qui devrait être la tache de Adobe – augmenterait par exemple considérablement la sécurité du surf.

Détail curieux, cependant. Cette page, qui est faite pour l'utilisateur lambda, n'est consultable qu'après avoir accepté un certificat de sécurité. La procédure est on ne peut plus anxiogène – ce qui n'est pas critiquable en soi – mais pourrait laisser croire que le site en question est malicieux.

Combien d'internautes iront jusqu'au bout de la procédure pour mettre à jour leurs plug-ins ? Espérons que cet écran n'apparaissent que dans la bêta.

L'équipe de développeur de Firefox a également laissé entendre que la version 3.6 du navigateur libre intégrerait en natif cette fonctionnalité, ce qui évitera de devoir se rendre volontairement sur une page de diagnostic.

Firefox 3.6 est attendu la semaine prochaine en version bêta.


Source : L'appel aux développeurs sur le site officiel de la Fondation Mozilla


MAJ de Gordon Fowler.

Citation:

La Fondation Mozilla annonce la vérification automatique des mises à jour du player Flash

Dans un communiqué sur son blog dédié à la sécurité, la fondation Mozilla annonce la vérification automatique des mises à jour du player Flash dans ses prochaines versions du navigateur Firefox 3.5.3 et 3.0.14 (sorties prévues demain mercredi 9 septembre)

De récentes enquêtes avaient montré que plus de 80% des utilisateurs étaient toujours vulnérables aux récentes failles détectées dans les lecteurs Flash. Compte tenu de la popularité du célèbre plugin d'Adobe, Mozilla a décidé de leur venir aide en les informant que leur version du player Flash était périmée et en les encourageant à effectuer une mise à jour.



Mozilla va également travailler avec d'autres éditeurs afin de pouvoir fournir des fonctionnalités équivalentes pour d'autres plugins et rendre ainsi le navigateur plus sûr.

Voilà une très bonne initiative.

- Qu'en pensez-vous ?
- Les autres navigateurs devraient-ils prendre exemple sur Firefox et fournir des fonctionnalités équivalentes et/ou est-ce aux différents éditeurs de faire le nécessaire pour que leurs plugins soient à jour ?
- Adobe ne va-t-il pas en profiter pour se dédouaner et éviter de remettre en cause son processus de mise à jour mis à défaut ?


Sources :
- Helping users keep plugins updated
- Upcoming Releases

[Aspartame]

je me souviens d'un temps où les utilisateurs pouvaient accéder à leur utilitaire de défragmentation windows sans privilèges ... les services informatiques étaient noyés d'appels " mon disque est fragmenté , il FAUT le défragmenter et j'ai pas les droits ".

la version 2009/2010 sera donc "mon plugin n'est pas à jour , il FAUT le mettre à jour ,et j'ai pas les droits " !

de plus je pense que mozilla doit avoir suffisemment à faire avec ses logiciels sans se préocupper de ceux des autres !

accepter (ou refuser) une mise à jour , se tenir informer des failles critiques , me semble être ce pour quoi un administrateur est payé.

en revanche, pour mon pc perso, chez moi , c'est une bonne initiative , car je ne vérifie pas ce genre de billets de sécurité , et que je surfe sur d'autres sites , plus risqués qu'au boulot à 90% des cas !

avis à deux facettes donc !

[Uther]

Citation:

de plus je pense que mozilla doit avoir suffisemment à faire avec ses logiciels sans se préoccuper de ceux des autres !

Justement, ils ont fait cela à la base parce que la grande majorité des rapport de crash qui leur arrive s'avèrent après analyse liés à de vieilles versions buggées de Flash, ce qui leur fait perdre du temps.

Le fait que ca améliore la sécurité n'était pas la raison à l'origine de cette évolution, mais c'est plus vendeur que "on en a marre de se taper des rapport de bug à cause des vielles versions de flash".

[v4np13]

Oui, mais pourquoi est-ce la fondation Mozilla qui se tape le travail et pas Adobe ? C'est si compliqué que ça d'intégrer une recherche de mise-à-jour automatique dans leur programme...

[Uther]

A vrai dire, elle ne s'est pas tapé le travail de faire un véritable outil d'update.

Elle a juste modifié la page d'accueil qui s'affiche après chaque mise à jour de Firefox. Si la version de flash n'est pas la dernière installée, elle affiche un avertissement et propose un lien la page de mise a jour de flash

Bref l'impact est vraiment mineur.

[v4np13]

Je m'en doute que ce n'est pas compliqué de détecter la version utilisée. Adobe explique comment faire sur son site. Mais je trouve la fondation Mozilla trop généreuse envers Adobe.

Quand on voit ce que développe la société Adobe, c'est désespérant de voir qu'ils ne sont pas capables de coder un programme de mise-à-jour digne de ce nom. Leur plugin flash est tellement souvent mis-à-jour qu'il est plus qu'indispensable d'avoir cette fonctionnalité opérationnelle sans l'intervention d'autrui.

[Uther]

Citation:

Envoyé par v4np13

Je m'en doute que ce n'est pas compliqué de détecter la version utilisée. Adobe explique comment faire sur son site. Mais je trouve la fondation Mozilla trop généreuse envers Adobe.

Comme je l'ai dit se n'est pas de la générosité. Si Mozilla fait ca c'est avant tout pour s'épargner d'avoir à traiter des rapports de crash inutiles.

Citation:

Envoyé par v4np13

Quand on voit ce que développe la société Adobe, c'est désespérant de voir qu'ils ne sont pas capables de coder un programme de mise-à-jour digne de ce nom. Leur plugin flash est tellement souvent mis-à-jour qu'il est plus qu'indispensable d'avoir cette fonctionnalité opérationnelle sans l'intervention d'autrui

Ce n'est tout de même pas si évident que ça. Certains, ne souhaitent pas les mise a jour sans prévenir. Et puis pour la mise a jour automatique, je ne suis pas sur que ce soit évident à faire pour le cas de flash, vu qu'il ne s'agit pas d'une application à part entière mais d'un plug-in.
Je n'ai pas envie de me retrouver avec un programme résident pour gérer cela.

[Aspartame]

Citation:

Envoyé par v4np13

Leur plugin flash est tellement souvent mis-à-jour qu'il est plus qu'indispensable d'avoir cette fonctionnalité opérationnelle sans l'intervention d'autrui.

oui

Citation:

Envoyé par Uther

Je n'ai pas envie de me retrouver avec un programme résident pour gérer cela.

non

parceque :
- commes tu l'as dit Uther , si ce plugin est responsable de la majorité des crash du renard , peu importe qu'il soit mis à jour par tel ou tel moyen , donc un programme 'résident' , pourquoi pas?
- pour une fois, je dirai que la démarche est aussi valable et bénéfique dans ma boîte que chez moi , à condition que :
- je puisse avoir la main dessus ( de manièfre centralisées et globale dasn ma boite , et parceque je suis admin de mon ordi chez moi ) , accepter ou refuser la mise à jour, accepter d'être prévenu ou refuser d'être prévenu de la mise à jour
- cela respecte mes droits ( en terme CNIL )

[Gordon Fowler]

Mise à jour : Firefox veut que toutes ses extensions soient à jour

[Skyounet]

Citation:

Envoyé par Gordon Fowler

Mise à jour : Firefox veut que toutes ses extensions soient à jour

Tss, ils veulent donner des leçons de sécurité et leur certificat SSL est même pas valide ahah

Citation:

This Connection is Untrusted
You have asked Firefox to connect
securely to www-trunk.stage.mozilla.com, but we can't confirm that your connection is secure.

[Uther]

Non c'est normal, la page est en beta et pas a son emplacement définitif. Bien sur, quand elle sera officiellement en place, il n'y aura plus ce genre de problème.

[tbassetto]

Citation:

Envoyé par Uther

Non c'est normal, la page est en beta et pas a son emplacement définitif. Bien sur, quand elle sera officiellement en place, il n'y aura plus ce genre de problème.

+1
Mais bien sûr le rédacteur a oublié de le préciser. Tout comme il a oublié de mettre un lien vers la (ou les) source(s) de l'information. Il faudra s'habituer, c'est devenu la marque de fabrique de developpez.com en tant que site d'actualité cette non-qualité.

Tant que j'y suis, ici on parle de plugins pas d'extensions. Un petit tour dans le panneau des modules complémentaires permet de vérifier que les deux termes existent mais pour différentes choses.

[S@mking]

Pour ma part je trouves que c'est une excellente initiative combien d'utilisateurs vont faire d'eux meme les démarches pour upgradder ses modules/plugins

[Gordon Fowler]

Mise à jour : Mozilla lance un appel aux développeurs pour optimiser sa page de détection de plug-ins périmés

[Gordon Fowler]

Citation:

Envoyé par tbassetto

il a oublié de mettre un lien vers la (ou les) source(s) de l'information. Il faudra s'habituer, c'est devenu la marque de fabrique de developpez.com en tant que site d'actualité cette non-qualité.

Hum... quand il y a des liens dans l'article vers les sites officiels et notamment en bas de l'article un lien avec écrit "sources", d'après vous, c'est quoi ?

Merci de ne pas porter des accusations de ce type avant d'avoir vérifié ce que vous dîtes.

Par ailleurs, la modération des propos est toujours source de bienfait. A mon humble avis, s'entend.

Enfin, si un article contient des erreurs, ce qui peut arriver, l'attitude critique est certes légitime. Elle est cependant moins constructive que celle qui consiste à envoyer un MP pour en faire part aux auteurs, ce qui profite à tous.

Ne croyez-vous pas ?

Respectueusement,

Gordon Fowler.

[Lorenzo77]

Citation:

Envoyé par Gordon Fowler

Hum... quand il y a des liens dans l'article vers les sites officiels et notamment en bas de l'article un lien avec écrit "sources", d'après vous, c'est quoi ?

Pour la décoration ?


interessant cette idée, normalement elle devrait etre intégré directement aux OS (ex : windows) ce qui permettrait d'avoir un systeme plus stable et avec une meilleur sécu !

[huit_six]

Mais c'est déjà le cas, c'est déjà intégré aux OS.
...
...
...
Comment ça ?!? Pas dans windows ?

Vous l'aviez vu arriver le troll velu ?

Plus sérieusement, je viens de faire le test sous xp et sous ubuntu. sous xp, 4 plug-ins sur 5 ne sont pas pris en charge (version non détectée) et sous ubuntu 1 sur 4 (plug-in silverlight d'ailleurs... et je sais même pas pourquoi j'ai ça ...)

[Gordon Fowler]

Mozilla améliore la sécurité de ses concurrents
En adaptant sa page de détection des plug-ins périmés à leurs navigateurs


Pour ceux qui l'auraient oublié (ou qui ne l'auraient jamais su), Mozilla n'est pas une entreprise.

L'éditeur de Firefox est une Fondation.

La nuance peut paraître mince, mais elle ne l'est pas.

Tristan Nitot (Président fondateur de Mozilla Europe) nous expliquait que son objectif n'était pas de produire des logiciels mais « de rendre le web meilleur » (sic) avec tout ce que cela implique : ouverture des formats, standards respectés, confidentialité pour les internautes et amélioration sécurité.

Le projet Drumbeat a par exemple pour but d'impliquer le plus possible la communauté d'utilisateurs de Firefox pour en faire des « évangélistes » de la sécurité. Ici, point de discrimination entre usagers, ni de parts de marché à défendre. Il faut éduquer et sensibiliser les plus d'internautes possibles aux dangers du net et aux problématiques de sécurité.

Ce n'est donc qu'une demi surprise de voir qu'aujourd'hui la Fondation Mozilla vient de modifier sa page de détection des plug-ins périmés (lire ci-avant) pour que celle-ci fonctionne avec tous les navigateurs majeurs du marché - et concurrents de Firefox : Internet Explorer, Chrome, Opera et Safari.

« Nous pensons que la sécurité des plug-ins est un problème pour le Web dans son ensemble », confirme Johnathan Nightingale, directeur du développement, sur son blog, « si nos efforts initiaux se sont concentrés sur la construction d'une page qui fonctionne pour les utilisateurs de Firefox, l'équipe a étendu la détection à Safari 4, Chrome 4 et Opera 10.5 ».

Le navigateur de Microsoft a lui posé quelques problèmes : « Nous avons aussi ajouter le support des plug-ins les plus populaires pour Internet Explorer 7 et 8, mais comme IE demande d'écrire du code spécifique pour chaque plug-in le travail va prendre un peu plus de temps ».

Rappelons que ce processus de détection/mise à jour de plug-ins périmés est automatisés dans Firefox depuis sa version 3.6.

Tout comme elle le sera pour le plug-in Flash, désormais installé en natif dans Google Chrome.


La page de de diagnostic est toujours ici.

Source : Le billet de Johnathan Nightingale


Lire aussi :

Firefox 4 tiendra-t-il ses très nombreuses promesses ? Début de réponse avec sa première beta prévue pour juin
Nouvelle beta pour Firefox 3.6.4, la séparation des processus arrive à grand pas : enfin ?

Et vous ?

Pensez-vous que la mission que se donne la Fondation Mozilla est bonne ou qu'au contraire, elle est utopiste - et qu'au final Mozilla en fait trop ?

[Neko]

Déjà Mozilla n'est pas qu'une fondation mais aussi une entreprise ( corporation ), ce que semble oublier beaucoup de monde...
Ensuite ya quand même beaucoup de logos FF dans cette page mine de rien
Et pour finir une page web quelle qu'elle soit, c'est fait pour être vue par tous les navigateurs. Donc c'est juste normal de la faire compatible avec tous les navigateurs.

[Gordon Fowler]

Citation:

Envoyé par Neko

Déjà Mozilla n'est pas qu'une fondation mais aussi une entreprise ( corporation ), ce que semble oublier beaucoup de monde...

C'est tout simplement faux

Citation:

Tristan Nitot : Nous sommes une Fondation. Pas une entreprise. Tous nos revenus servent à trois choses : payer les salaires, payer les impôts et alimenter un fonds de réserve.

Mozilla n'a aucun actionnaire et ne verse aucun dividende.

cf. : http://www.developpez.net/forums/d86...e-vos-retours/

Désolé

Gordon